Miles de millones de dispositivos en riesgo por una vulnerabilidad Bluetooth
Una vulnerabilidad de Bluetooth denominada BlueBorne, descubierta en abril, se ha hecho pública después de que empresas como Google y Microsoft emitieron actualizaciones.
La empresa de seguridad con sede en Estados Unidos, Armis Lab, reveló la vulnerabilidad el 12 de septiembre.
BlueBorne es un vector de ataque a través del cual los hackers pueden usar conexiones Bluetooth para acceder a dispositivos que incluyen computadoras, teléfonos móviles y dispositivos IoT.
Un ataque de este tipo no requeriría que el dispositivo de destino se emparejara con el dispositivo del atacante, ni siquiera se estableciera en modo detectable. Armis Labs ha identificado ocho vulnerabilidades de día cero hasta el momento, que indican la existencia y el potencial del vector de ataque.
Armis Labs estima que más de 8 millones de dispositivos podrían estar en riesgo. Las vulnerabilidades afectan a todos los dispositivos que se ejecutan en Android, Linux, Windows y la versión anterior 10 de los sistemas operativos iOS, independientemente de la versión Bluetooth en uso.
Todos los dispositivos iPhone, iPad y iPod touch con iOS 9.3.5 o inferior y los dispositivos AppleTV con la versión 7.2.2 o inferior se ven afectados por la vulnerabilidad de ejecución remota de código.
La diferencia de BlueBorne con otros tipos de vectores de ataque es el hecho de que se propaga a través del aire, lo que según Armis, permite que se extienda con el mínimo esfuerzo.
La otra gran preocupación es que las medidas de seguridad tradicionales no protegen contra este tipo de amenaza. Además, ninguna acción de un usuario es necesaria para desencadenar el ataque.
El 19 de abril, Armis Labs contactó a Google y Microsoft sobre la vulnerabilidad. Google publicó una actualización de seguridad pública y un boletín de seguridad el 4 de septiembre. Microsoft ya había publicado actualizaciones el 11 de julio.
Apple fue contactado en agosto, pero no tenía ninguna vulnerabilidad en sus versiones actuales. Samsung fue contactado en tres ocasiones distintas y no respondió a la compañía de seguridad.
Linux también fue contactado en agosto, se proporcionó información al equipo de seguridad del kernel de Linux ya la lista de contactos de seguridad de distribuciones de Linux.
